Gastbeitrag von Fred Van Gestel, Datenschutzbeauftragter bei Hostserver und Mitglied im Bundesverband der Datenschutzbeauftragten (BvD e.V.).
Im Rahmen der Verbandstage des BvD e.V. diskutierten am 10. Mai in Berlin über 200 Datenschutzbeauftragte, Vertreter der Aufsichtsbehörden
und Informationssicherheitsexperten aktuelle Datenschutzthemen.
Als Datenschützer der Hostserver GmbH war ich dabei und habe spannende Erkenntnisse und Anregungen mitgebracht.
Ein Schwerpunkt der vielen Vorträgen, Workshops und Diskussionen war die kommende EU-Datenschutzreform, die seit einiger Zeit für Aufregung und Unsicherheit bei Datenschützern, Firmen und deren Kunden sorgt.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, erläuterte die geplante Verordnung und ihre Auswirkungen auf den nationalen und internationalen Datenschutz und warb für mehr Unterstützung bei der Lobby-Arbeit in Brüssel. Denn eins ist klar: Europa hat nicht nur das Personenrecht der Betroffenen im Blick, sondern auch den freien Datenverkehr. Dieser Zusatz soll den wichtigen Handelspartnern der EU entgegenkommen, das sind nicht zuletzt US- Großunternehmen im Internet-Bereich, die in Brüssel prominent vertreten sind.
EU-Datenschutzreform: Die wichtigsten geplanten Änderungen im Überblick
- Vereinfachung des Datenschutzregimes durch ein einheitliches Gesetz in der ganzen EU.
- Firmen sind nur noch der Datenschutzbehörde des Landes verpflichtet, in dem sie ihren Hauptsitz haben, auch wenn sie in mehreren europäischen Staaten aktiv sind.
- Erst ab 250 Mitarbeitern ist ein Datenschutzbeauftragter notwendig (momentan liegt die Grenze bei 10 Mitarbeitern).
- ‘Privacy by design’ und ‘privacy by default’ sollen die geltenden Prinzipien in Geschäftsprozessen sein. Das bedeutet, dass Datenschutz in Produkte und Services so früh wie möglich integriert werden soll und das Datenschutzeinstellungen die Standardeinstellungen z.B. in sozialen Netzwerken sein müssen.
Factsheet: Benefits for European businesses (PDF, Englisch)
Noch ist EU-Verordnung ein Entwurf. Nach den Plänen der EU-Kommission soll die Verordnung aber schon 2013 von den Mitgliedstaaten verabschiedet werden und mit einer Übergangsfrist von zwei Jahren in Kraft treten.
Was ist eine EU-Verordnung?
Es handelt sich bei der Reform um eine EU-Verordnung. Anders als bei einer EU-Richtlinie die von den EU-Staaten in nationales Recht umgesetzt werden muss, wäre eine Verordnung bindend für Mitgliedstaaten, die den Vertrag von Lissabon ratifiziert haben. Konkret würde eine EU-Datenschutzverordnung alle Datenschutzgesetze von Bund und Ländern ablösen und wäre das Bundesverfassungsgericht nicht mehr zuständig für die Auslegung der Reglungen, sondern der Europäische Gerichtshof.
Stimmen zur geplanten EU-Verordnung
Herr Schaar begrüßte die EU-weite Vereinheitlichung der Gesetze, denn Datenschutz lässt sich in einer vernetzte Welt längst nicht mehr national durchsetzen.
Betriebliche Datenschutzbeauftragte sehen jedoch in der Verordnung einen Rückgang und eine Aufweichung des Datenschutzes. Interessant zu beobachten ist, dass auch die Aufsichtsbehörden in den verschiedenen Bundesländern die EU-Verordnung kontrovers diskutieren.
So bezeichnete Herrn Dr. Stefan Brink der Landesbehörde für den Datenschutz Rheinland-Pfalz die Verordnung als „unfriendly takeover“ der europäische Kommission. Er sieht die EU-Harmonisierung als Absenkung unseres derzeitigen hohen Datenschutzstandards. Tatsache ist, dass im Entwurfstext die Kriterien für die Bestellungspflicht eines Datenschutzbeauftragten in Unternehmen stark gelockert werden und die nationalen Aufsichtsbehörden der europäischen Kommission unterstellt werden.
Folgen für Unternehmen und Kunden
Das war für mich der interessante Teil weil darin die mögliche Konsequenzen einer Datenschutzreform für die Hostserver GmbH, unsere Kunden und meine tägliche Arbeit klar wurden.
Aus meiner Sicht enthält der Entwurf durchaus auch Verbesserungen im Vergleich zur jetzigen Regelung:
- Sehr begrüßenswert ist, dass der räumliche Anwendungsbereich geregelt wird. Wenn beispielsweise ein Unternehmen eine Internetdienstleistung für EU-Bürger anbietet, würde das EU-Recht gelten und zwar unabhängig davon, in welchem Land oder Kontinent das Unternehmen seine Niederlassung hat.
- Völlig neu wäre das „Recht auf Vergessen“. Betroffene können die Löschung ihrer personenbezogenen Daten und die Unterlassung der weiteren Verbreitung dieser Daten verlangen, vor allem dann, wenn der Betroffene seine Daten im Kindesalter veröffentlicht hat.
- Die automatisierte Profilbildung im Internet wird geregelt. Betroffene hätten das Recht automatisierte Profiling-Verfahren im Internet zu unterbinden. Das würde so manche E-Marketingunternehmen vor neue Herausforderungen stellen.
Zu den problematischen Punkten gehören:
- Die Herabsetzung der Altersgrenze für Kinder: ab dem 14. Lebensjahr wäre keine Einwilligung der Eltern mehr notwendig, um die personenbezogenen Daten von Kindern zu verarbeiten. Abgesehen davon, dass diese Grenze recht niedrig liegt, müssten Webseitenbetreiber sich auch Gedanken darüber machen, wie sie das Alter ihrer Nutzer zuverlässig verifizieren wollen.
- Unternehmen brauchen erst ab 250 Mitarbeiter einen Datenschutzbeauftragten. Dabei ist die Art der Datenverarbeitung oder die Sensibilität der Daten, mit denen ein Unternehmen arbeitet, kein Kriterium mehr.
Fazit:
Der Datenschutz muss dringend aktualisiert werden und zwar auf internationalem Niveau, um den heutigen Anforderungen einer global informationsverarbeitenden Gesellschaft gerecht zu werden. Die EU-Datenschutzverordnung kann mit der EU-weiten Harmonisierung der Datenschutzreglungen ein richtiger Schritt dazu sein. Allerdings sind einige Punkte im Entwurfstext verbesserungswürdig. In Deutschland ist seit einiger Zeit ein erhöhtes Bewußtsein für Datenschutzfragen spürbar, das zu vermehrten Beschwerden von Verbrauchern führt. Die zuständigen Behörden werden sich darauf einstellen und mehr Ressourcen zur Verfügung stellen müssen.
Weiterführende Links zum Thema:
Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. : Stellungnahmen zum europäischen Datenschutz
Europäische Kommission: Datenschutzreform (Englisch)
Der Datenschutz-Blog: Datenschutz: Überblick zum Entwurf der EU-Datenschutzverordnung